在阅读djangobook chapter时,我遇到了一段提到csrf漏洞,其中一个登出链接放在隐藏的恶意网站中。
在我使用django创建的网络应用程序中,我使用了类似的注销链接
base.html文件:
<a href="{% url my_logout %}" > Logout </a>
my_logout网址指向django.contrib.auth.views.logout_then_login
urlpatterns=patterns('django.contrib.auth.views',
url(r'^logout/$', 'logout_then_login', {}, name = 'my_logout'),
)
现在,在阅读了csrf攻击之后,我担心恶意网站也会给我带来麻烦。所以,我想用一个表单进行注销。
我以为我可以这样做
base.html文件:
...
<form method="post" action=".">{% csrf_token %}
<input type="hidden" name="next" value="{{next}}" />
<input type="hidden" name="confirm" value="true" />
<input type="submit" value="Logout" />
</form>
...
现在,我应该如何编写处理此表单的视图?如果我要处理隐藏变量(confirm以检查是否应该注销,next转到上一个视图) ,我仍然可以使用django.contrib.auth.views.logout_then_login方法吗?
有人可以告诉我,如果我这样做是正确的吗?
提前致谢
答案 0 :(得分:3)
你可以像
一样包装它from django.views.decorators.cache import never_cache
from django.views.decorators.csrf import csrf_protect
from django.views.decorators.http import require_POST
@csrf_protect
@require_POST
@never_cache
def safer_logout(request):
# 'confirm' is useless here, POST implies 'do it'
return logout_then_login(request, request.POST.get('next'))
另外,请考虑使用SESSION_COOKIE_HTTPONLY